Я построение API, где каждая строка запроса запрос содержит следующее:Целесообразно использовать подпись (данные запроса хешированные с помощью закрытого ключа) как nonce, чтобы избежать повторных атак?
- отметки о время
- Пара данных параметров
- Открытого ключ
- подписи (параметры данных и метку времени hashed с закрытым ключом)
При получении запроса сервер проверяет метку времени и отклоняет слишком старые запросы. Сервер также проверяет подпись.
Возможно ли сохранить подпись в базе данных на некоторое время, чтобы убедиться в отсутствии повторных атак в течение действительного таймфрейма? Это явно близко к тому, как работает nonce, но я был бы рад услышать ваши мысли о подходе.
Я голосую, чтобы закрыть этот вопрос как не по теме, потому что это напрямую не связано с программированием. Такие вопросы гораздо лучше подходят для [security.se] (или даже [crypto.se]). –
Я буду помнить об этом в будущем. Спасибо за ваши мысли, @ArtjomB. –